CVE-2024-1493

Nome do software vulnerável e versões afetadas:

GitLab CE/EE versões 9.2 a 16.11.5

GitLab CE/EE versões 17.0 a 17.0.3

GitLab CE/EE versões 17.1 a 17.1.1

Descrição:

A vulnerabilidade diz respeito à lógica de processamento para a geração de links em arquivos de dependência, o que pode levar a um ataque de negação de serviço (DoS) por expressão regular no servidor. Isso se deve ao uso de uma expressão regular com complexidade computacional ineficiente. A exploração dessa vulnerabilidade pode permitir que um invasor remoto cause uma negação de serviço.

Recomendações:

Para as versões 9.2 a 16.11.5 do GitLab CE/EE, atualize para a versão 16.11.5 ou posterior.

Para as versões 17.0 a 17.0.3 do GitLab CE/EE, atualize para a versão 17.0.3 ou posterior.

Para as versões 17.1 a 17.1.1 do GitLab CE/EE, atualize para a versão 17.1.1 ou posterior.

Como solução alternativa temporária, considere restringir o processamento de arquivos de dependência para minimizar o risco de exploração.